Eseguire l'onboard Windows 10 dispositivi usando uno script locale

Vuoi provare Defender per Endpoint? iscriversi a una versione di valutazione gratuita.

Puoi anche eseguire manualmente l'onboard di singoli dispositivi in Defender for Endpoint. È consigliabile eseguire questa operazione prima di testare il servizio prima di eseguire l'onboarding di tutti i dispositivi della rete.

Importante

Questo script è stato ottimizzato per l'uso in un massimo di 10 dispositivi.

Per eseguire la distribuzione su larga scala, utilizzare altre opzioni di distribuzione. Ad esempio, puoi distribuire uno script di onboarding in più di 10 dispositivi in produzione con lo script disponibile in Onboard Windows 10 dispositivi usando Criteri di gruppo.

Eseguire l'onboarding dei dispositivi

Vedi il PDF o il Visio per vedere i vari percorsi nella distribuzione di Defender per Endpoint.

  1. Aprire il file del pacchetto di .zip criteri di gruppo (WindowsDefenderATPOnboardingPackage.zip) scaricato dall'onboarding guidato del servizio. Puoi anche ottenere il pacchetto da Microsoft 365 Defender Portal:

    1. Nel riquadro di spostamento seleziona Impostazioni > > > Onboarding gestione dispositivi degli endpoint.
    2. Seleziona Windows 10 come sistema operativo.
    3. Nel campo Metodo di distribuzione selezionare Script locale.
    4. Fai clic su Scarica pacchetto e salva il file .zip file.
  2. Estrai il contenuto del pacchetto di configurazione in una posizione nel dispositivo che vuoi eseguire l'onboard(ad esempio, desktop). Dovresti avere un file denominato WindowsDefenderATPLocalOnboardingScript.cmd.

  3. Apri un prompt della riga di comando con privilegi elevati nel dispositivo ed esegui lo script:

    1. Passare a Start e digitare cmd.
    2. Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.

    Finestra menu Start che punta a Esegui come amministratore.

  4. Digitare il percorso del file script. Se il file è stato copiato sul desktop, digitare: %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd

  5. Premere INVIO o fare clic su OK.

Per informazioni su come convalidare manualmente la conformità del dispositivo e la segnalazione corretta dei dati del sensore, vedi Risolvere i problemi di onboardingdi Microsoft Defender for Endpoint.

Suggerimento

Dopo l'onboarding del dispositivo, puoi scegliere di eseguire un test di rilevamento per verificare che un dispositivo sia stato correttamente onboarding nel servizio. Per altre informazioni, vedi Eseguire un test di rilevamento su un endpoint di Microsoft Defender for Endpoint appena onboarded.

Configurare le impostazioni della raccolta di esempio

Per ogni dispositivo, puoi impostare un valore di configurazione per indicare se è possibile raccogliere campioni dal dispositivo quando viene effettuata una richiesta tramite Microsoft 365 Defender per inviare un file per l'analisi approfondita.

Puoi configurare manualmente l'impostazione di condivisione di esempio nel dispositivo usando regedit o creando ed eseguendo un file REG.

La configurazione viene impostata tramite la voce della chiave del Registro di sistema seguente:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Dove Tipo nome è D-WORD. I valori possibili sono:

  • 0 - Non consente la condivisione di esempi da questo dispositivo
  • 1 - Consente la condivisione di tutti i tipi di file da questo dispositivo

Il valore predefinito nel caso in cui la chiave del Registro di sistema non esista è 1.

Eseguire un test di rilevamento per verificare l'onboarding

Dopo l'onboarding del dispositivo, puoi scegliere di eseguire un test di rilevamento per verificare che un dispositivo sia stato correttamente onboarding nel servizio. Per altre informazioni, vedi Eseguire un test di rilevamento su un dispositivo Microsoft Defender for Endpoint appena onboarded.

Dispositivi offboard con uno script locale

Per motivi di sicurezza, il pacchetto usato per i dispositivi offboard scadrà 30 giorni dopo la data di download. I pacchetti di offboarding scaduti inviati a un dispositivo verranno rifiutati. Durante il download di un pacchetto di offboarding, ti verrà notificata la data di scadenza dei pacchetti e verrà incluso anche nel nome del pacchetto.

Nota

I criteri di onboarding e offboarding non devono essere distribuiti nello stesso dispositivo contemporaneamente, altrimenti ciò causerà collisioni imprevedibili.

  1. Ottenere il pacchetto di offboarding da Microsoft 365 Defender portale:

    1. Nel riquadro di spostamento, selezionare Impostazioni > > > Offboarding gestione dispositivi endpoint .
    2. Seleziona Windows 10 come sistema operativo.
    3. Nel campo Metodo di distribuzione selezionare Script locale.
    4. Fai clic su Scarica pacchetto e salva il file .zip file.
  2. Estrarre il contenuto del file .zip in un percorso condiviso di sola lettura accessibile dai dispositivi. Dovresti avere un file denominato WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd.

  3. Apri un prompt della riga di comando con privilegi elevati nel dispositivo ed esegui lo script:

    1. Passare a Start e digitare cmd.

    2. Fare clic con il pulsante destro del mouse su Prompt dei comandi e scegliere Esegui come amministratore.

      Finestra menu Start che punta a Esegui come amministratore.

  4. Digitare il percorso del file script. Se il file è stato copiato sul desktop, digitare: %userprofile%\Desktop\WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd

  5. Premere INVIO o fare clic su OK.

Importante

L'offboarding fa sì che il dispositivo interrompi l'invio dei dati del sensore al portale, ma i dati del dispositivo, incluso il riferimento a eventuali avvisi che ha avuto, verranno conservati per un massimo di 6 mesi.

Monitorare la configurazione del dispositivo

È possibile seguire i diversi passaggi di verifica descritti in Risolvere i problemi di onboarding per verificare che lo script sia stato completato correttamente e che l'agente sia in esecuzione.

Il monitoraggio può essere eseguito anche direttamente nel portale o utilizzando i diversi strumenti di distribuzione.

Monitorare i dispositivi tramite il portale

  1. Passare a Microsoft 365 Defender portale.
  2. Fare clic su Inventario dispositivi.
  3. Verificare che i dispositivi siano visualizzati.